Южнокорейская компания по созданию сайтов стала жертвой хакеров из Северной Кореи

По данным Центра экстренного реагирования на угрозы безопасности AhnLab ( ASEC ), атака началась с рассылки электронных писем с заражёнными вложениями. Если пользователь открывал такое вложение, злоумышленник получал удалённый доступ к его компьютеру через веб-шелл, который маскировался под URL легитимного сайта, уже скомпрометированного хакерами.

Все сайты, использованные в этой атаке, были разработаны одной и той же корейской компанией по созданию сайтов. Название фирмы не называется по причинам безопасности. Компания обслуживает широкий круг клиентов из разных отраслей, включая производство, торговлю, электронику, образование, строительство, медицину и туризм. На всех сайтах была доступна административная страница, которую злоумышленник мог использовать для загрузки вредоносного ПО. Эксперты считают, что атаки были спланированы заранее и направлены на кражу данных клиентов и пользователей сайтов.

Представитель веб-студии сообщил, что атаки начались около недели назад и не прекращаются. Компания пытается восстановить работу сайтов и защитить данные своих клиентов. Представитель также посоветовал пользователям сайтов сменить свои пароли и проверить свои банковские счета.

Исследователи полагают, что за этой атакой стоит группа APT37 (она же RedEyes, ScarCruft, Ricochet Chollima, Reaper, Group123 или InkySquid) — это северокорейская хакерская группировка, которая занимается кибершпионажем. Считается, что она поддерживается властями КНДР. Недавно стало известно , что группировка использует новое уклончивое вредоносное ПО M2RAT и стеганографию для сбора разведданных. Кроме того, недавно исследователи безопасности из ИБ-компании Check Point обнаружили , что APT37 использует LNK-файлы для доставки RAT-трояна RokRAT с июля 2022 года.